Debians sikkerhedsbulletin
DSA-2859-1 pidgin -- flere sårbarheder
- Rapporteret den:
- 10. feb 2014
- Berørte pakker:
- pidgin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-6477, CVE-2013-6478, CVE-2013-6479, CVE-2013-6481, CVE-2013-6482, CVE-2013-6483, CVE-2013-6484, CVE-2013-6485, CVE-2013-6487, CVE-2013-6489, CVE-2013-6490, CVE-2014-0020.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Pidgin, en chatklient som understøtter flere protokoller:
- CVE-2013-6477
Jaime Breva Ribes opdagede at en fjern-XMPP-bruger kunne udløse et nedbrud ved at sende en meddelelse med en tidsstempling i den fjerne fremtid.
- CVE-2013-6478
Pidgin kunne bringes til at gå ned ved hjælp af alt for brede tooltip-vinduer.
- CVE-2013-6479
Jacob Appelbaum opdagede at en ondsindet server eller en
manden i midten
, kunne sende en misdannet HTTP-header, medførende et lammelsesangreb (denial of service). - CVE-2013-6481
Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede Yahoo! P2P-meddelelser.
- CVE-2013-6482
Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede MSN-meddelelser.
- CVE-2013-6483
Fabian Yamaguchi og Christian Wressnegger opdagede at Pidgin kunne bringes til at gå ned gennem misdannede XMPP-meddelelser.
- CVE-2013-6484
Man opdagede at ukorrekt fejlhåndtering ved læsning af et svar fra en STUN-server, kunne medføre et nedbrud.
- CVE-2013-6485
Matt Jones opdagede et bufferoverløb i fortolkningen af misdannede HTTP-svar.
- CVE-2013-6487
Yves Younan og Ryan Pentney opdagede et bufferoverløb ved fortolkning af Gadu-Gadu-meddelelser.
- CVE-2013-6489
Yves Younan og Pawel Janic opdagede et heltalsoverløb ved fortolkning af MXit-emoticons.
- CVE-2013-6490
Yves Younan opdagede et bufferoverløb ved fortolkning af SIMPLE-headere.
- CVE-2014-0020
Daniel Atallah opdagede at Pidgin kunne bringes til at gå ned gennem misdannede IRC-parametre.
I den gamle stabile distribution (squeeze), stilles der ikke direkte tilbageførsel til rådighed. En rettet pakke vil om kort tid blive stillet til rådighed gennem backports.debian.org.
I den stabile distribution (wheezy), er disse problemer rettet i version 2.10.9-1~deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 2.10.9-1.
Vi anbefaler at du opgraderer dine pidgin-pakker.
- CVE-2013-6477